Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

RedLine: il RE delle Botnet Colpito al Cuore! Dalla Creazione alla Cattura del Sospetto Sviluppatore

White R0s3 : 5 Novembre 2024 09:15

RedLine Stealer è un infostealer avanzato distribuito come Malware-as-a-Service” (MaaS), uno strumento creato per raccogliere e sottrarre informazioni sensibili dai dispositivi compromessi.

Identificato per la prima volta nel 2020, RedLine Stealer si è rapidamente diffuso su forum di cybercriminalità e canali Telegram dedicati, diventando uno degli strumenti preferiti da hacker e gruppi criminali. Destinato ai dispositivi Windows, questo malware utilizza principalmente campagne di phishing e software compromessi per infiltrarsi nei sistemi delle vittime creando delle botnet con capacità di “logging” delle attività sui client.

RedLine Stealer estrae credenziali di accesso, informazioni sui browser, contenuti di portafogli di criptovalute e altri dati sensibili, che vengono inviati ai server di comando e controllo (C2) degli attaccanti. L’infrastruttura C2 di RedLine Stealer si avvale di registrazioni falsificate, come contatti e dettagli di registrazione inventati, per ostacolare le indagini e nascondere l’identità dei suoi operatori.

Funzionamento di Redline Stealer

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Questa combinazione di tecniche di offuscamento e anonimato rende RedLine Stealer un malware di particolare complessità e pericolosità per le vittime e una sfida per le forze dell’ordine.

La scoperta di Maxim Rudometov e Operation Magnus

Maxim Rudometov, è stato ritenuto il creatore e amministratore di RedLine, identificato e accusato dalle autorità statunitensi grazie a “Operation Magnus“, un’operazione internazionale di contrasto al cyber crime. L’FBI ha rintracciato Rudometov utilizzando un insieme di prove tecniche, tra cui l’analisi delle sue interazioni con server e account online legati al malware. Errori operativi, come l’uso della stessa email per account su diversi forum di hacker e profili personali, hanno portato gli investigatori a collegare l’identità di Rudometov al codice e alle operazioni del malware RedLine.

Le autorità statunitensi hanno emesso un mandato di arresto e lo hanno accusato di frode legata ai dispositivi di accesso, cospirazione per intrusione informatica e riciclaggio di denaro, reati che potrebbero comportare fino a 35 anni di carcere se condannato.

L’Operation Magnus

Operation Magnus è un’iniziativa globale di cooperazione tra le forze dell’ordine di Stati Uniti, Paesi Bassi, Regno Unito e altre nazioni, mirata a colpire le infrastrutture dei malware RedLine e MetaStealer. L’operazione, che ha portato allo smantellamento di oltre 1.200 server e alla chiusura di canali Telegram legati alla vendita del malware, rappresenta un grande passo avanti nella lotta alla cybercriminalità.

Grazie alle indagini, le autorità hanno sequestrato dati di accesso, registrazioni e codici sorgente di RedLine, limitando in modo significativo l’operatività del malware.

Struttura Tecnica del Malware

RedLine Stealer è un programma scritto in .NET, linguaggio che ne facilita la distribuzione e l’esecuzione su sistemi Windows. Una particolarità riscontrata è l’utilizzo di una data di compilazione fittizia impostata al 2047, un espediente che può rendere più difficile l’attribuzione temporale delle attività e ostacolare l’analisi dei ricercatori. All’interno del codice, sono presenti varie classi suddivise in moduli che gestiscono la connessione con il server C2 e la raccolta dei dati dal sistema infetto.

Il malware esegue una serie di controlli per evitare di attaccare dispositivi in aree geografiche specifiche, come la Russia e altre nazioni correlate, implementando un filtro basato sulla configurazione regionale del sistema. Questo è un indizio spesso presente nei malware di origine russa, poiché molti criminali informatici scelgono di escludere i loro Paesi di origine per minimizzare il rischio di attenzione da parte delle forze dell’ordine locali.

Metodi di Raccolta delle Informazioni

RedLine Stealer è dotato di diverse classi per la raccolta di informazioni da applicazioni specifiche, tra cui:

  • AllWallets: raccoglie dati da portafogli di criptovalute, come il file “wallet.dat” dei portafogli Bitcoin.
  • BrEx: raccoglie password, cookie e informazioni di estensione dei browser.
  • Discord: punta alla cache dei dati delle applicazioni come Discord, popolare tra gli utenti privati.
  • Entity19 e Entity20: mirano a raccogliere informazioni su server FTP come quelli di FileZilla e altri dati da database SQLite.
  • GameLauncher: cerca dati relativi alla piattaforma di gioco Steam.
  • RosComNadzor: cerca file “tdata” di Telegram, che possono includere dettagli di accesso e dati di sessione.

Questi moduli, attivati a seconda della configurazione, mirano a sottrarre dati che potrebbero poi essere utilizzati per vendere l’accesso ad account personali o facilitare ulteriori attacchi.

Funzionamento dell’acquisto dei black-feed da parte dei sistemi di intelligence

Comunicazione con il Server di Comando e Controllo (C2)

Per garantire la trasmissione sicura delle informazioni sottratte, RedLine utilizza una serie di classi dedicate alla connessione con il server C2. La classe ConnectionProvider stabilisce e mantiene la connessione, mentre la classe Arguments contiene le credenziali necessarie per identificare il malware sul server. La classe StringDecrypt utilizza algoritmi di decrittazione Base64 e XOR per offuscare gli indirizzi IP e altre stringhe rilevanti, rendendo difficile l’identificazione della destinazione delle comunicazioni.

Dai dati emersi durante l’analisi, sembra che RedLine non proceda con l’esfiltrazione dei dati finché non riesce a stabilire una connessione stabile con il server C2, dimostrando la natura centralizzata della sua operatività.

Conclusione

Il caso RedLine Stealer rappresenta un esempio significativo delle avanzate capacità operative e tecniche dei gruppi criminali, che sfruttano sofisticate infrastrutture e modelli di business come il malware-as-a-service (MaaS) per diffondere minacce di alto livello. Sebbene l’arresto di Maxim Rudometov e l’operazione internazionale che ha colpito la sua infrastruttura abbiano rappresentato un passo importante, la complessità della rete di distribuzione e il modello MaaS continuano a costituire una sfida per le autorità nel bloccare completamente le attività di infostealing.

RedLine Stealer si distingue per la sua capacità di sottrarre informazioni sensibili, dalle credenziali agli asset digitali, fino ai dati specifici di applicazioni come Discord e FileZilla. Il software, reso facilmente accessibile attraverso la vendita come servizio, abbassa le barriere d’ingresso per attori criminali, facilitando il furto di dati e l’avvio di attacchi mirati. Gli indicatori tecnici, come l’esclusione di sistemi configurati in Russia e l’utilizzo di infrastrutture C2 anonimizzate, suggeriscono un’origine russa e testimoniano la sofisticazione dei suoi operatori.

RedLine, con la sua struttura flessibile e la rete di supporto estesa, continuerà a rappresentare una sfida complessa per la security, rendendo essenziale un approccio proattivo per mitigare i rischi legati a malware sempre più mirati e sofisticati.

Indicatori di Compromissione (IoCs)

  1. MD5: c7a2de31d6f01d5ba962ce7ba17539d3
  2. SHA256: 30eeb6c732a7e37cbfff0148d2c2457229fb6ef36feb0abb99e2afbfed0d1257

WhiteR0s3
Membro del gruppo Red Hot Cyber Dark Lab, ingegnere informatico specializzata in Cyber Security con una profonda passione per l’hacking e la tecnologia. Esperta in Cyber Threat Intelligence con esperienza presso una multinazionale. La cybersecurity è un campo in continua evoluzione, questa sfida costante mi stimola a migliorare continuamente le mie competenze e a cercare nuove soluzioni. Credo che la sicurezza informatica non sia solo una professione, ma una missione continua per proteggere il mondo digitale. Il mio obiettivo professionale è crescere ulteriormente in questo ambito, aspirando a ruoli di responsabilità e leadership.

Lista degli articoli

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...